Техника на mitre.org

T1610: Развертывание контейнера

Злоумышленники могут развернуть контейнер в целевой среде для выполнения кода или обхода защитных механизмов. В некоторых случаях злоумышленники могут развернуть новый контейнер, чтобы запустить процессы, связанные с конкретным образом или развертыванием, например для выполнения или загрузки вредоносного ПО. В других случаях злоумышленник может развернуть новый контейнер без сетевых правил, пользовательских и других ограничений, чтобы обойти существующие в среде средства защиты. В средах Kubernetes атакующий может попытаться развернуть привилегированный или уязвимый контейнер на определенном узле, чтобы выйти за пределы контейнера и получить доступ к другим контейнерам на этом узле .

Контейнеры могут быть развернуты различными способами, например через команды create и start API Docker или веб-приложения, такие как веб-интерфейс Kubernetes или Kubeflow . В средах Kubernetes контейнеры можно развертывать с помощью таких рабочих нагрузок, как ReplicaSet или DaemonSet, которые позволяют массово развертывать контейнеры на разных узлах. Злоумышленники могут развертывать контейнеры на основе полученных ими или своих собственных вредоносных образов либо при помощи с виду безопасных образов, которые загружают и запускают полезную нагрузку во время выполнения.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

Мониторинг событий запуска процессов, в командной строке которых содержатся фрагменты «docker build», «docker run» и «kubectl apply»

Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»

Способы обнаружения

ID	DS0015	Источник и компонент данных	Журналы приложений: Содержимое журналов приложений	Описание	Обнаружить посторонние компьютерные системы или сетевые устройства можно, проанализировав базы данных управления конфигурацией (CMDB) или другие системы управления активами.

ID	DS0014	Источник и компонент данных	Модуль (pod): Изменения в модуле	Описание	Отслеживайте непредусмотренные изменения в параметрах или управляющих данных модулей, которые могут использоваться для развертывания контейнеров в целевой среде с целью упрощения выполнения кода или обхода защитных механизмов.

ID	DS0032	Источник и компонент данных	Контейнер: Запуск контейнера	Описание	Отслеживайте активацию или вызов контейнера, который может использоваться для развертывания контейнеров в целевой среде с целью упрощения выполнения кода или обхода защитных механизмов.

ID	DS0014	Источник и компонент данных	Модуль (pod): Создание модуля	Описание	Отслеживайте создание модулей, которые могут использоваться для развертывания контейнеров в целевой среде с целью упрощения выполнения кода или обхода защитных механизмов.

ID	DS0032	Источник и компонент данных	Контейнер: Создание контейнера	Описание	Отслеживайте создание контейнеров, которые могут использоваться для развертывания контейнеров в целевой среде с целью упрощения выполнения кода или обхода защитных механизмов.

ID	Источник и компонент данных	Описание
DS0015	Журналы приложений: Содержимое журналов приложений	Обнаружить посторонние компьютерные системы или сетевые устройства можно, проанализировав базы данных управления конфигурацией (CMDB) или другие системы управления активами.
DS0014	Модуль (pod): Изменения в модуле	Отслеживайте непредусмотренные изменения в параметрах или управляющих данных модулей, которые могут использоваться для развертывания контейнеров в целевой среде с целью упрощения выполнения кода или обхода защитных механизмов.
DS0032	Контейнер: Запуск контейнера	Отслеживайте активацию или вызов контейнера, который может использоваться для развертывания контейнеров в целевой среде с целью упрощения выполнения кода или обхода защитных механизмов.
DS0014	Модуль (pod): Создание модуля	Отслеживайте создание модулей, которые могут использоваться для развертывания контейнеров в целевой среде с целью упрощения выполнения кода или обхода защитных механизмов.
DS0032	Контейнер: Создание контейнера	Отслеживайте создание контейнеров, которые могут использоваться для развертывания контейнеров в целевой среде с целью упрощения выполнения кода или обхода защитных механизмов.

Меры противодействия

ID	M1018	Название	Управление учетными записями	Описание	Внедрите принцип предоставления минимальных привилегий, предоставляя доступ к панели управления контейнера только тем пользователям, которым он необходим. При использовании Kubernetes избегайте предоставления пользователям разрешений с метасимволами или добавления пользователей в группу `system:masters`, а также используйте `RoleBindings` вместо `ClusterRoleBindings` для ограничения привилегий пользователей конкретными пространствами имен.

ID	M1035	Название	Ограничение доступа к ресурсам по сети	Описание	Ограничьте взаимодействие со службой контейнера управляемыми и защищенными каналами, такими как локальные сокеты Unix или удаленный доступ через SSH. Требуйте безопасного доступа к портам для связи с API по TLS, отключив неаутентифицированный доступ к Docker API, Kubernetes API Server и веб-приложениям для оркестровки контейнеров. В кластерах Kubernetes, развернутых в облачных средах, используйте встроенные функции облачной платформы для ограничения диапазонов IP-адресов, которым разрешен доступ к серверу API. По возможности включите доступ к API Kubernetes по принципу "точно в срок" (JIT), чтобы установить дополнительные ограничения на доступ.

ID	M1047	Название	Аудит	Описание	Сканируйте образы перед развертыванием и блокируйте те, которые не соответствуют политикам безопасности. В средах Kubernetes контроллер допуска можно использовать для проверки образов после того, как запрос на развертывание контейнера будет аутентифицирован, но до того, как контейнер будет развернут.

ID	M1030	Название	Сегментация сети	Описание	Используйте сетевые прокси-серверы, шлюзы и межсетевые экраны, чтобы запретить прямой удаленный доступ к внутренним системам.

ID	Название	Описание
M1018	Управление учетными записями	Внедрите принцип предоставления минимальных привилегий, предоставляя доступ к панели управления контейнера только тем пользователям, которым он необходим. При использовании Kubernetes избегайте предоставления пользователям разрешений с метасимволами или добавления пользователей в группу `system:masters`, а также используйте `RoleBindings` вместо `ClusterRoleBindings` для ограничения привилегий пользователей конкретными пространствами имен.
M1035	Ограничение доступа к ресурсам по сети	Ограничьте взаимодействие со службой контейнера управляемыми и защищенными каналами, такими как локальные сокеты Unix или удаленный доступ через SSH. Требуйте безопасного доступа к портам для связи с API по TLS, отключив неаутентифицированный доступ к Docker API, Kubernetes API Server и веб-приложениям для оркестровки контейнеров. В кластерах Kubernetes, развернутых в облачных средах, используйте встроенные функции облачной платформы для ограничения диапазонов IP-адресов, которым разрешен доступ к серверу API. По возможности включите доступ к API Kubernetes по принципу "точно в срок" (JIT), чтобы установить дополнительные ограничения на доступ.
M1047	Аудит	Сканируйте образы перед развертыванием и блокируйте те, которые не соответствуют политикам безопасности. В средах Kubernetes контроллер допуска можно использовать для проверки образов после того, как запрос на развертывание контейнера будет аутентифицирован, но до того, как контейнер будет развернут.
M1030	Сегментация сети	Используйте сетевые прокси-серверы, шлюзы и межсетевые экраны, чтобы запретить прямой удаленный доступ к внутренним системам.